「日本を変える」決意で起業 世界で勝てるものづくりをしたい
――Flatt Securityの創業ストーリーをお聞かせください。
日本発で、世界市場で勝てるものづくりをしたいと考えていました。幼少期からニュージーランド、イタリア、アメリカなど海外で過ごす機会が多かったのですが、自分が小学生ごろまでは、テレビやオーディオ、家電製品など、日本のものづくりが世界市場でも強い時代でした。自分が日本から来たと言うと、「トヨタの車いいね」と言われたり、ゲームならポケモンで友達と仲良くなったり、ものづくりが言語を超える体験をして、それに対する憧れを抱いていたのです。
しかし残念なことに、中高生時代に自分が勉強を頑張っていたころ、日本のものづくりは衰退して経済も停滞に向かっていました。高校生の頃、18歳選挙権の政府法案成立の活動をして、政治家になると日本を変えられるのではないかと考えたこともありましたが、それも1人では難しいと分かり、それならば自分でビジネスをしたいと大学入学前に思うようになりました。
大学に入学してからは起業に向けた経験を積むためにFiNC(株式会社FiNC Technologies)でソフトウェアエンジニアをさせていただいて、その後、メルカリ(株式会社メルカリ)でエンジニアリングの能力をつけつつ、ビジネスの勉強を積んで、2017年に起業しました。
――開発者向けのセキュリティサービス事業を選ばれた経緯を教えてください。
起業するからには日本に貢献したいと考え、その基準を時価総額1兆円としていました。インターネットにおける購買行動に関する事業か、サイバーセキュリティの事業のいずれかに取り組みたいと考えていて、当初はECサービスをしていました。その後、方針転換をして現在はサイバーセキュリティの事業に注力しています。
ソフトウェアがビジネス競争の源泉になっていて、どの会社もソフトウェアを早いサイクルで改善してプロダクトを提供していきたいと考えています。しかし、セキュリティの問題が原因でプロダクト自体を終了させなければならない事態に陥ることもあります。私は開発者として、エンジニアとしていろいろ経験を積むうちに、ソフトウェア開発者向けのサイバーセキュリティに関するプロダクトが少ないことを課題と感じていたのです。開発者はセキュリティチェックなどを外部ベンダーに任せる場合も多く、さらにそれが開発スピードを落とすという対立構造が課題だと考えていたのです。
高度な技術者たちによる、プロフェッショナルなセキュリティサービス
――現在はどのようなプロダクト・サービスを提供されていますか。
事業は大きく2つあります。ひとつは自社プロダクトの「Shisho Cloud」で、セキュリティの自動化を推進しようとするものです。もうひとつは、自動化ができない部分を高度な人材がサポートするプロフェッショナルサービス事業です。これには、お客様がプロダクトを作り終わった段階で脆弱性診断をする「セキュリティ診断」と、上流工程からセキュリティ問題を解決するための学習プラットフォーム「KENRO」があります。脆弱性を生じさせない「堅牢」という意味を込めています。
Shisho Cloudの方は現在PoC(概念実証)の段階で、セキュリティ監査の自動化をやろうとしています。クラウドの設定などをコードひとつで監査できるようにするサービスにしたいと考えています。例えば、SaaSやパブリッククラウドはさまざまな設定項目があり、利用する側のポリシーもあります。それをいちいちチェックするのは大変ですので、一元管理したいというニーズが生まれていまして、それに応えるプロダクトになります。
Image:Flatt Security
――現在の売上はプロフェッショナルサービスによるものが多いのでしょうか。数多くの大手企業にサービスを提供されていますね。
はい。私たちは開発者向けのセキュリティサービスを主眼に置いています。実はセキュリティ診断ベンダーの中では価格を高めに設定しているのですが、それでも当社を選んでくださるお客様というのは社内にエンジニアの開発組織がある企業です。その開発者のみなさんが求める要件をたくさんそろえているので、選ばれているのです。特に多いのがBtoBのSaaSを提供される企業ですね。
例えば、分析基盤向けデータ統合自動化サービス「trocco」を提供される株式会社primeNumberの事例では、当社のエンジニアがソースコードを読む「ホワイトボックス診断」という高度な診断を実施しました。
SBIデジトラスト株式会社の事例では、金融機関向けの生体認証を活用した身元確認などを実施するIDaaS(Identity as a Service)の診断を行いました。銀行で初めて採用された認証システムに対し、高度なセキュリティ診断をさせていただきました。先端技術の場合、国内にセキュリティ診断を依頼する企業が存在しない場合もあります。
Image:Flatt Security
――BtoBのSaaSを企業が導入する場合に、セキュリティチェックシートに適合するかどうかを求められ、それが原因で導入に時間がかかるという課題があります。御社の診断はそのような悩みを解決するのでしょうか。
それは半分イエスで半分ノーです。この話題は大変よく聞きますが、実はセキュリティチェックシートの要件を満たすハンコが欲しいだけなら、安い診断はたくさんありますのでそれを選べばいいのです。格安の診断を行う事業者は、自動化ツールによって診断をする場合が多く、この場合、エラーなどはリストアップされますが、脆弱性の原因が分からない場合があります。私たちが手動で行うセキュリティ診断は、技術者がアプリケーションの仕様を理解して行うので、原因・対策も正確に報告することができます。
手動診断のベンダーを選ぶ上でもいくつか観点があります。「政府情報システムにおける脆弱性診断導入ガイドライン」は、現状あくまで「政府情報システム」をメインに据えた資料ではありますが、診断ベンダー選びの参考になるかもしれません。
優秀なメンバーがビジネスの源泉。サプライチェーンセキュリティで世界に挑む
――ビジネスの状況はいかがでしょうか。資金調達の予定はありますか。
この3年間で売上は10倍に成長しています。順調に顧客が増えているのですが、自ら営業するのではなく、ほとんどインバウンドの問い合わせを起点としています。これに関しても、当社のエンジニアたちが、自社の技術ブログでの情報発信することで大きな役割を果たしています。2022年は技術ブログが全体で25万PVあり、このテーマでは多い方だと思います。
主なお客様はエンジニアを抱えた組織で、決裁者も技術面をよくご存知の方です。技術面でも意思決定できる方に価値をご理解いただけるので、商談もすぐにまとまります。
社内のKPIとして、リピート率も重視しているのですが、これもかなり高いと自負しています。お客様自身はプロダクト開発を続けられますので診断の需要はずっと続きます。1度利用して良ければ、次も依頼したいとなりますね。開発者向けにチューニングしたサービスですので、開発のフローのなかに弊社の診断を組み込むといったイメージです。
診断の事業によって利益を出しやすい構造になっていますので、次の資金調達は、Shisho Cloudのトラクションが出て、グローバルに展開するタイミングになると思います。
――御社の優秀な技術者が現在のビジネスの源泉になっていると思います。今後はどのようにスケールしていきますか。
当社のエンジニアは20人ぐらいです。2022年11月には、執行役員兼プロフェッショナルサービス事業CTOに志賀遼太を迎えました。彼は2021年4月には世界最大のハッキングコンテスト「Pwn2Own」で受賞するなど、数々のCTF(Capture The Flag ハッキングコンテスト)で実績を残し運営にも携わっています。彼のような高度な人材を競争力の源泉としながら、技術者を集めて品質を維持していきたいと思っています。とはいえ、私たちが求める経歴を持つ人は少ないので、リファラルや、開発者からの参画によって増やしていく方針です。
当社の現在の主な顧客は大きめのSaaS事業者やスタートアップですので、事業のスケールに関して、大企業向けに展開していくことについては弱みを感じています。しかし、どの企業もソフトウェアづくりはしています。DXやシステムインテグレーターの動きのなかで、開発におけるセキュリティをしっかりやろう、教育もしようとなれば、日本のソフトウェアのレベルは相当高くなると考えています。大企業や大手SI企業とも仕事をして、ソフトウェア開発におけるセキュリティの標準を作って日本に貢献していきたいです。
当社の社外取締役の上野 宣は、OWASP Japan(Webをはじめとするソフトウェアのセキュリティのプロフェッショナルが集まるコミュニティ)の代表でもありますので、そのコミュニティの勉強会などでさまざまな業界や省庁の架け橋となって情報発信をしています。私たちも、ソフトウェアのユーザーがセキュリティ上で守られた状態にするのが理想と考えて活動しています。
――創業の時から「世界市場で勝てるものづくりをしたい」と考え、取り組んできたそうですが、その目標をどのように実現していきますか。
国内では、開発者向けのセキュリティ分野で完全に独自のポジションを取れていると思います。ただ、Shisho Cloudをグローバルに展開するとなると、ライバルも多くなってくるでしょう。しかし、サプライチェーンセキュリティに関する意識はアメリカの方が日本より3年〜5年は進んでいて、私たちの考えは受け入れられやすい状況にあります。数年後にアメリカで確固たる地位を築いて、日本に逆輸入されるような展開をイメージしています。
グローバルでの差別化は、ひたすら優秀な人材を集めてひたすら顧客に向き合い続けることによって出てくると考えています。悲しいことではありますが、日本のエンジニアの賃金は比較的安い状況です。しかし、世界の競合と比較すると、比較的安く優秀な人が集められるメリットになるということです。日本で事業をしていること自体が優位になっていると思います。もちろん、世界で戦うには今後給与も上げていきたいとも考えています。
――読者へのメッセージをお願いします。
今の時代、顧客に価値提供しようと思ったときに、デジタルの力が必要です。そこには当然セキュリティが必要です。当社としては、顧客がプロダクト開発に集中できる環境を裏方的にサポートし、気づかないところでセキュリティがしっかり担保できているというのが私たちの理想です。セキュリティの脆弱性はビジネスの根幹を揺るがす懸念もありますので、みなさんが安心して新しい価値を創造できるよう、セキュリティの面から支えて貢献していきたいと思っています。
大企業の皆さんもどんどんDXに取り組まれていると思います。世界的な潮流として、多くの大企業がDXを進める中で「ソフトウェア企業」に変化している状況です。時代に応じてセキュリティのあり方も変わってくると思いますが、私たちはそこに一番うまく対応できる企業を目指していますので、ぜひパートナーとして選んでいただけますと幸いです。
Image:Flatt Security